Europese Commissie maakt voorstel ePrivacy wetgeving bekend

Gisteren heeft de Europese Commissie nieuwe wetgeving voorgesteld om de privacy bij elektronische communicatie beter te beschermen. Daarnaast wil de EC de bestaande regels (e-privacy richtlijn) aanpassen en uitbreiden naar alle aanbieders van online communicatie en krijgen providers nieuwe mogelijkheden om communicatiegegevens te verwerken. De nieuwe wetgeving zal eveneens zorgen voor meer vertrouwen en veiligheid op de Digital Single Market (1 van de hoofdprioriteiten van de EC). Het voorstel om de regels voor elektronische communicatie aan te passen past binnen het kader van de eveneens strengere Europese Verordening Algemene Gegevensbescherming. Vraag is of er nu geen over regulering zal ontstaan door deze nieuwe bundel van Europese privacywetgeving.

Het ePrivacy-voorstel

Uit het persbericht van de EC blijkt dat het ePrivacy-voorstel moet zorgen voor een betere bescherming van het privéleven van mensen en tegelijkertijd nieuwe kansen moet creëren voor bedrijven.

De navolgende punten vallen op:

  • Nieuwe spelers: 92% van de Europeanen vindt het belangrijk dat hun e-mails en onlineberichten vertrouwelijk blijven. Maar de bestaande e-privacyrichtlijn geldt alleen voor traditionele telecombedrijven. De nu voorgestelde privacyregels zullen ook gelden voor nieuwe spelers die online communicatie aanbieden, zoals WhatsApp, Facebook Messenger, Skype, Gmail, iMessage of Viber.
  • Krachtiger regels: De bestaande e-privacyrichtlijn wordt aangepast met een verordening. Dat betekent dat de regels nu rechtstreeks toepasselijk worden, zodat alle consumenten en bedrijven in alle EU-landen even goed beschermd worden. Bedrijven weten zo ook waar ze aan toe zijn: in de hele EU gelden voortaan dezelfde regels.
  • Inhoud en metadata van communicatie: Niet alleen de inhoud van elektronische berichten wordt beschermd, ook de metadata (bijv. plaats en tijdstip). Die gegevens zijn namelijk ook belangrijk voor uw privacy. Als u niet uitdrukkelijk toestemming geeft om die data op te slaan, moeten bedrijven ze volgens het voorstel anonimiseren of verwijderen (tenzij ze nodig zijn om kosten in rekening te brengen).
  • Meer mogelijkheden voor ondernemers: Als een consument toch toestemming geeft om gegevens (inhoud en/of metadata) te verwerken, kunnen de traditionele telecombedrijven met die gegevens nu extra diensten aanbieden. Ze zouden bijvoorbeeld heatmaps kunnen maken van de locaties van consumenten of reizigers. Handig voor overheden en vervoersbedrijven bij nieuwe infrastructuurprojecten.
  • Eenvoudiger cookieregels: De zogenaamde "cookiebepaling", waardoor we als internetgebruiker zo vaak opnieuw toestemming moeten geven, wordt gestroomlijnd. Met de nieuwe regels kan iedereen zijn privacy-instellingen beter bewaken en wordt het makkelijker om permanente cookies en andere middelen om persoonsgegevens te verzamelen, te accepteren of te weigeren. Volgens het voorstel hoeft een website voortaan geen toestemming meer te vragen voor cookies die nodig zijn om de website of applicatie goed te laten werken (bijv. om de inhoud van uw winkelwagentje te bewaren). Voor cookies waarmee een website het aantal bezoekers telt, is voortaan ook geen toestemming meer nodig.
  • Bescherming tegen spam: Het voorstel van vandaag bevat ook een verbod op alle elektronische communicatie waarvoor u geen toestemming heeft gegeven. Dat geldt bijv. voor berichten per e-mail of sms, maar in principe ook voor telefonische reclame. Toch wordt bellen voor reclamedoeleinden niet automatisch verboden. Elk EU-land kan namelijk beslissen die keuze aan de consument over te laten, bijv. via een bel-me-niet-register. In ieder geval mogen callcenters hun nummer niet meer verbergen, of moeten ze een speciale prefix gebruiken zodat duidelijk is dat het om marketing gaat.
  • Doeltreffender handhaving: De vertrouwelijkheidsregels in de verordening moeten worden gehandhaafd door de nationale instanties voor gegevensbescherming.

Nog meer wetgeving

Naast het nieuwe ePrivacy-voorstel, maakt de EC nog een verordening  bekend die ziet op de Gegevensbescherming bij EU-instellingen en –organen. Met deze verordening wil de EC de bestaande bepalingen uit 2001 aanpassen aan de recentere en strengere regels van de algemene verordening gegevensbescherming van 2016. Zo weet iedereen dat zijn persoonsgegevens bij de instellingen en organen van de EU volgens de strengste normen worden beschermd.

Tot slot kwam de EC met een mededeling waarin zij de strategie voor de internationale uitwisseling van persoonsgegevens uiteenzet. Rechtshandhavingsdiensten en bedrijven moeten vlotter kunnen samenwerken, maar niet ten koste van het niveau van gegevensbescherming. De Commissie geeft aan dat zij proactief zal deelnemen aan besprekingen over "adequaatheidsbesluiten" (voor het vrije verkeer van persoonsgegevens naar landen waar de privacybescherming "in essentie equivalent" is aan die in de EU) met belangrijke handelspartners in Oost- en Zuidoost-Azië, om te beginnen met Japan en Korea in 2017, maar ook met geïnteresseerde landen in Latijns-Amerika of buurlanden van de EU.

De Commissie zal bovendien optimaal gebruik maken van andere mechanismen waarvoor de nieuwe EU-regels ruimte bieden (de algemene verordening gegevensbescherming en de politiële richtlijn) om de uitwisseling van persoonsgegevens met andere landen buiten de EU zo vlot mogelijk te laten verlopen als een adequaatheidsbesluit er niet in zit.

In haar mededeling herhaalt de Commissie ook dat zij zal blijven ijveren voor strengere normen inzake gegevensbescherming op internationaal vlak, zowel bilateraal als multilateraal. We moeten hierbij denken aan het Privacy Shield (waarover discussie bestaat).

Vervolg

De EC roept het Europees Parlement en de Raad op om de voorstellen zo snel mogelijk af te handelen zodat deze voor 25 mei 2018, de dag waarop de Algemene Verordening Gegevensbescherming van toepassing wordt. Voor die datum wil de EC de Europese burgers en bedrijven een volwaardig en compleet wettelijk kader voor gegevensbescherming in Europa aanbieden.

Naast de Algemene Verordening Gegevensbescherming (en de implementatie daarvan, waarover wij u al eerder berichten) komt er dus nog meer Europese wetgeving inzake de privacy aan waar vanaf eind mei 2018 rekening mee gehouden moet worden en die mogelijk ook van invloed kan zijn op de bedrijfsvoering van bedrijven.

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.